DANE-Unterstützung in Anwendungen

Das "DANE-Pinning" von Zertifikation mittels TLSA-Einträgen in den Zonen der Nameserver ermöglicht es nicht nur selbst-signierten Zertifikaten das Vertrauen auszusprechen, sondern auch ansonsten von CAs signierten Zertifikaten als ungültig zu kennzeichnen.

Dies würde grundsätzlich auch in Anwendungen für Endbenutzer vorteilhaft sein. Leider gibt es zum derzeitigen Stand keine Unterstützung in den verbreiteten MUAs.

Auch für https-Verbindungen würde eine zusätzliche DANE-Überprüfung eines TLS-Zertifikats einen zusätzlichen Sicherheitsgewinn bedeuten. Dies wurde in den vergangenen Jahren allerdings heftig diskutiert, und Google entschied sich dazu in seinem Chrome-Browser DANE nicht zu unterstützen. Google vertritt die Ansicht, dass DANE keine Vorteile im Vergleich mit den eigenen Lösungen, z.B. "Zertifikatstransparenz" nach RFC6962, in der Handhabung von Zertifikaten bietet.

Von Drittanbietern gibt es ein freies Addon sowohl für Mozilla Firefox, Google Chrome und den Microsoft Internet Explorer auf der DNSSEC/TLSA Validator Seite. Das Addon fügt in die Adressleiste Symbole hinzu, die den DNSSEC-Status der Nameserver-Abfrage und den TLSA-Eintrag zu einem Zertifikat anzeigen (siehe Abbildung).


Ein grünes Schlüsselsymbol deutet die korrekte DNSSEC-Validierung der Nameserverabfrage an, und ein grünes Vorhängeschloßsymbol bedeutet, dass ein dem Zertifikat entsprechender TLSA-Eintrag gefunden wurde.

Durch ein "Maus over" auf das jeweilige Symbol werden Detailinformationen in einem Dialog angezeigt.



Von diesen optionalen Addons, die nur die wenigsten Benutzer installieren, spielt DANE für den Endbenutzer derzeit allerdings (noch) keine Rolle.